Configurando uma assinatura iniciada pela fonte
As assinaturas iniciadas pela origem permitem definir uma assinatura em um computador coletor de eventos sem definir os computadores de origem de eventos e, em seguida, vários computadores remotos de origem de eventos podem ser configurados (usando uma configuração de diretiva de grupo) para encaminhar eventos para o computador coletor de eventos. Isso é diferente de uma assinatura iniciada pelo coletor porque, nesse modelo, o coletor de eventos deve definir todas as fontes de eventos na assinatura do evento.
Ao configurar uma assinatura iniciada pela fonte, considere se os computadores de origem do evento estão no mesmo domínio que o computador do coletor de eventos. As seções a seguir descrevem as etapas a serem seguidas quando as fontes de eventos estão no mesmo domínio ou não estão no mesmo domínio que o computador do coletor de eventos.
Observação
Qualquer computador em um domínio, local ou remoto, pode ser um coletor de eventos. No entanto, ao escolher um coletor de eventos, é importante selecionar uma máquina que esteja topologicamente próxima de onde a maioria dos eventos será gerada. O envio de eventos para uma máquina em um local de rede distante em uma WAN pode reduzir o desempenho geral e a eficiência na coleta de eventos.
Configurar uma subscrição iniciada pela origem em que as origens de eventos estão no mesmo domínio que o computador do coletor de eventos
Os computadores de origem de eventos e o computador do coletor de eventos devem ser configurados para estabelecer uma subscrição iniciada pela fonte.
Observação
Estas instruções pressupõem que você tenha acesso de administrador ao controlador de domínio do Windows Server que serve o domínio no qual o(s) computador(es) remoto(s) será(ão) configurado(s) para coletar eventos.
Configurando o computador de origem do evento
Execute o seguinte comando a partir de um prompt de comando de privilégios elevados no controlador de domínio do Windows Server para configurar o Gerenciamento Remoto do Windows:
winrm qc -q
Inicie a política de grupo executando o seguinte comando:
%SYSTEMROOT%\System32\gpedit.msc
No nó Configuração do Computador, expanda o nó Modelos Administrativos, depois expanda o nó Componentes do Windows e selecione o nó Encaminhamento de Eventos.
Clique com o botão direito do mouse na configuração SubscriptionManager e selecione Propriedades. Ative a configuração SubscriptionManager e clique no botão Mostrar para poder adicionar um endereço de servidor à configuração. Adicione pelo menos uma configuração que especifique o computador do coletor de eventos. A janela SubscriptionManager Properties contém uma guia Explicar que descreve a sintaxe da configuração.
Depois que a configuração SubscriptionManager tiver sido adicionada, execute o seguinte comando para garantir que a política seja aplicada:
gpupdate /force
Configurando o computador do coletor de eventos
Execute o seguinte comando a partir de um prompt de comando de privilégios elevados no controlador de domínio do Windows Server para configurar o Gerenciamento Remoto do Windows:
winrm qc -q
Execute o seguinte comando para configurar o serviço Coletor de Eventos:
wecutil qc /q
Crie uma assinatura iniciada pela fonte. Isso pode ser feito programaticamente, usando o Visualizador de Eventos ou usando Wecutil.exe. Para obter mais informações sobre como criar a assinatura programaticamente, consulte o exemplo de código em Criando uma assinatura iniciada pela fonte. Se você usar Wecutil.exe, deverá criar um arquivo XML de assinatura de evento e usar o seguinte comando:
wecutil csconfigurationFile.xml
O XML a seguir é um exemplo do conteúdo de um arquivo de configuração de assinatura que cria uma assinatura iniciada pela fonte para encaminhar eventos do log de eventos do Aplicativo de um computador remoto para o log ForwardedEvents no computador do coletor de eventos.
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription"> <SubscriptionId>SampleSISubscription</SubscriptionId> <SubscriptionType>SourceInitiated</SubscriptionType> <Description>Source Initiated Subscription Sample</Description> <Enabled>true</Enabled> <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri> <!-- Use Normal (default), Custom, MinLatency, MinBandwidth --> <ConfigurationMode>Custom</ConfigurationMode> <Delivery Mode="Push"> <Batching> <MaxItems>1</MaxItems> <MaxLatencyTime>1000</MaxLatencyTime> </Batching> <PushSettings> <Heartbeat Interval="60000"/> </PushSettings> </Delivery> <Expires>2018-01-01T00:00:00.000Z</Expires> <Query> <![CDATA[ <QueryList> <Query Path="Application"> <Select>Event[System/EventID='999']</Select> </Query> </QueryList> ]]> </Query> <ReadExistingEvents>true</ReadExistingEvents> <TransportName>http</TransportName> <ContentFormat>RenderedText</ContentFormat> <Locale Language="en-US"/> <LogFile>ForwardedEvents</LogFile> <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers> <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers> </Subscription>Observação
Ao criar uma assinatura iniciada pela fonte, se AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList e DeniedSubjectList estiverem todos vazios, então "O:NSG:NSD:(A;; GA;;; DC)(A;; GA;;; NS)" será usado como o descritor de segurança padrão para AllowedSourceDomainComputers. O descritor padrão concede aos membros do grupo de computadores do domínio, bem como ao grupo Serviço de Rede local (para o encaminhador local), a capacidade de gerar eventos para esta assinatura.
Para validar se a assinatura funciona corretamente
No computador do coletor de eventos, conclua as seguintes etapas:
Execute o seguinte comando a partir de um prompt de comando de privilégios elevados no controlador de domínio do Windows Server para obter o status de tempo de execução da assinatura:
wecutil gr<subscriptionID>
Verifique se a fonte do evento se conectou. Talvez seja necessário aguardar até que o intervalo de atualização especificado na política termine depois de criar a assinatura para que a fonte de eventos seja conectada.
Execute o seguinte comando para obter as informações de assinatura:
wecutil gs<subscriptionID>
Obtenha o valor de DeliveryMaxItems das informações da assinatura.
No computador de origem do evento, gere os eventos que correspondem à consulta da subscrição de eventos. O número de eventos DeliveryMaxItems deve ser aumentado para que os eventos sejam encaminhados.
No computador do coletor de eventos, valide se os eventos foram encaminhados para o log ForwardedEvents ou para o log especificado na assinatura.
Reencaminhamento do registo de segurança
Para poder encaminhar o log de segurança, você precisa adicionar a conta NETWORK SERVICE ao grupo Leitores de EventLog.
Configurando uma assinatura iniciada pela fonte onde as fontes de eventos não estão no mesmo domínio que o computador do coletor de eventos
Observação
Estas instruções pressupõem que você tenha acesso de administrador a um controlador de domínio do Windows Server. Nesse caso, como o computador do coletor de eventos remoto ou o(s) computador(es) não estão no domínio servido pelo controlador de domínio, é essencial iniciar um cliente individual definindo o Gerenciamento Remoto do Windows como "automático" usando Serviços (services.msc). Como alternativa, você pode executar "winrm quickconfig" em cada cliente remoto.
Os pré-requisitos a seguir devem ser atendidos antes que a assinatura seja criada.
No computador do coletor de eventos, execute os seguintes comandos a partir de um prompt de comando com privilégios elevados para configurar o Gerenciamento Remoto do Windows e o serviço Coletor de Eventos:
winrm qc -q
wecutil qc /q
O computador coletor deve ter um certificado de autenticação de servidor (certificado com uma finalidade de autenticação de servidor) em um armazenamento de certificados de computador local.
No computador de origem do evento, execute o seguinte comando para configurar o Gerenciamento Remoto do Windows:
winrm qc -q
A máquina de origem deve ter um certificado de autenticação de cliente (certificado com uma finalidade de autenticação de cliente) em um armazenamento de certificados de computador local.
A porta 5986 é aberta no computador do coletor de eventos. Para abrir esta porta, execute o comando:
netsh firewall adicionar portopening TCP 5986 "Winrm HTTPS Remote Management"
Requisitos em matéria de certificados
Um certificado de autenticação de servidor deve ser instalado no computador do Coletor de Eventos no repositório pessoal da máquina local. O assunto deste certificado tem de corresponder ao FQDN do coletor.
Um certificado de autenticação de cliente deve ser instalado nos computadores de origem do evento no repositório pessoal da máquina local. O assunto deste certificado tem de corresponder ao FQDN do computador.
Se o certificado do cliente tiver sido emitido por uma Autoridade de Certificação diferente da do Coletor de Eventos, esses certificados Raiz e Intermediário também precisarão ser instalados no Coletor de Eventos.
Se o certificado de cliente foi emitido por uma autoridade de certificação intermediária e o coletor está executando o Windows 2012 ou posterior, você terá que configurar a seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\ClientAuthTrustMode (DWORD) = 2
Verifique se o servidor e o cliente são capazes de verificar com êxito o status de revogação em todos os certificados. O uso do comando certutil pode ajudar na solução de erros.
Encontre mais informações neste artigo: https://technet.microsoft.com/library/dn786429(v=ws.11).aspx
Configurar o ouvinte no Coletor de Eventos
Defina a autenticação do certificado com o seguinte comando:
winrm set winrm/config/service/auth '@{Certificate="true"}'
Um ouvinte HTTPS do WinRM com a impressão digital do certificado de autenticação do servidor deve existir no computador do coletor de eventos. Isso pode ser verificado com o seguinte comando:
winrm e winrm/config/listener
Se você não vir o ouvinte HTTPS ou se a impressão digital do ouvinte HTTPS não for igual à impressão digital do certificado de autenticação do servidor no computador do coletor, você poderá excluir esse ouvinte e criar um novo com a impressão digital correta. Para excluir o ouvinte https, use o seguinte comando:
winrm excluir winrm/config/Listener?Endereço=*+Transport=HTTPS
Para criar um novo ouvinte, use o seguinte comando:
winrm criar winrm/config/Listener? Address=*+Transport=HTTPS '@{Hostname="<FQDN do coletor>"; CertificateThumbprint="<Impressão digital do certificado de autenticação do servidor>"}'
Configurar o mapeamento de certificados no Coletor de Eventos
Crie um novo usuário local.
Torne esse novo usuário um administrador local no coletor.
Crie o mapeamento de certificado usando um certificado presente nas "Autoridades de certificação raiz confiáveis" ou "Autoridades de certificação intermediárias" da máquina.
Observação
Este é o certificado das Autoridades de Certificação (CA) Raiz ou Intermediárias que emitiram os certificados instalados nos computadores de origem do evento (a CA imediatamente acima do certificado na cadeia de certificados):
winrm criar winrm/config/service/certmapping? Emissor=<Impressão digital do certificado da autoridade de certificação emissora>+Subject=*+URI=* '@{UserName="<nome de usuário>"; Password="<password>"}' -remote:localhost
Em um cliente, use o seguinte comando para testar o ouvinte e o mapeamento de certificado:
winrm g winrm/config -r:https://< Event Collector FQDN>:5986 -a:certificate -certificate:"<Impressão digital do certificado de autenticação do cliente>"
Isso deve retornar a configuração do WinRM do coletor de eventos. Não passar desta etapa se a configuração não for exibida.
O que acontece nesta etapa?
- O cliente se conecta ao Coletor de Eventos e envia o certificado especificado.
- O Coletor de Eventos procura a autoridade de certificação emissora e verifica se existe um mapeamento correspondente de certificados.
- O Coletor de Eventos valida a cadeia de certificados do cliente e o estado das revogações.
- Se essas etapas forem bem-sucedidas, a autenticação será concluída.
Observação
Você pode receber um erro de acesso negado reclamando sobre o método de autenticação, o que pode ser enganoso. Para solucionar problemas, verifique o log CAPI no Coletor de Eventos.
- Liste as entradas de certmapping configuradas com o comando: winrm enum winrm/config/service/certmapping
Observação
O usuário Local criado na etapa 1 nunca é usado para representar o usuário que se conecta por meio da autenticação de certificado em um cenário de Encaminhamento de EventLog e pode ser excluído posteriormente. Se você planeja usar a autenticação de certificado em um cenário diferente, como o Powershell Remoto, não exclua o usuário Local.
Configuração do computador de origem do evento
Faça logon com uma conta de administrador e abra o Editor de Diretiva de Grupo Local (gpedit.msc)
Navegue até Diretiva do Computador Local\Configuração do Computador\Modelos Administrativos\Componentes do Windows\Encaminhamento de Eventos.
Abra a política "Configurar o endereço do servidor, o intervalo de atualização e a autoridade de certificação do emissor de um Gerenciador de Assinaturas de destino".
Ative a política e clique no botão "Mostrar..." do SubscriptionManagers.
Na janela SubscriptionManagers, insira a seguinte cadeia de caracteres:
Servidor=HTTPS://<FQDN do servidor Coletor de Eventos>:5986/wsman/SubscriptionManager/WEC,Atualização=<Intervalo de atualização em segundos>,IssuerCA=<Impressão digital do certificado da CA emissora>
Execute a seguinte linha de comando para atualizar as configurações da Diretiva de Grupo Local:Gpupdate /force
Estas etapas devem produzir o evento 104 no Visualizador de Eventos do computador de origem em Logs de Aplicações e Serviços\Microsoft\Windows\Eventlog-ForwardingPlugin\Log Operacional com a seguinte mensagem:
O reencaminhador conseguiu conectar-se ao gestor de assinaturas no endereço <FQDN>, seguido pelo evento 100 com a mensagem: "A assinatura <sub_name> foi criada com êxito."
No Coletor de Eventos, o Status do Tempo de Execução da Assinatura mostrará agora 1 computador ativo.
Abra o log ForwardedEvents no Coletor de Eventos e verifique se você tem os eventos encaminhados dos computadores de origem.
Conceder permissão na chave privada do certificado do cliente na Origem do Evento
- Abra o console de gerenciamento de certificados para a máquina local no computador de origem do evento.
- Clique com o botão direito do rato no certificado do cliente e, em seguida, em Gerir chaves privadas.
- Conceda permissão de leitura ao utilizador SERVIÇO DE REDE.
Configuração de subscrição de eventos
- Abra o Visualizador de Eventos no Agente de Eventos e navegue até o nó Subscrições.
- Clique com o botão direito do mouse em Assinaturas e escolha "Criar assinatura..."
- Forneça um nome e uma descrição opcional para a nova Assinatura.
- Selecione a opção "Computador de origem iniciado" e clique em "Selecionar grupos de computadores...".
- Em Grupos de Computadores, clique em "Adicionar Computadores Sem Domínio..." e digite o hostname da fonte do evento.
- Clique em "Adicionar certificados..." e adicione o certificado da autoridade de certificação que emite os certificados de cliente. Você pode clicar em Exibir certificado para validar o certificado.
- Em Autoridades de Certificação, clique em OK para adicionar o certificado.
- Quando terminar de adicionar Computadores, clique em OK.
- De volta às Propriedades da Assinatura, clique em Selecionar Eventos...
- Configure o Filtro de Consulta de Eventos especificando o(s) nível(es) de evento, log(s) de eventos ou fonte(s) de eventos, a(s) ID(s) de evento e quaisquer outras opções de filtragem.
- De volta às Propriedades da Subscrição, clique em Avançadas...
- Escolha uma das opções de otimização para entrega de eventos do evento de origem para o coletor de eventos ou deixe o padrão Normal:
- Minimize Bandwidth: Os eventos serão entregues com menos frequência para economizar largura de banda.
- Minimize Latency: Os eventos serão entregues assim que ocorrerem para reduzir a latência dos eventos.
- Altere o protocolo para HTTPS e clique em OK.
- Clique em OK para criar a nova assinatura.
- Verifique o status do tempo de execução da assinatura clicando com o botão direito do mouse e escolhendo "Status do tempo de execução"